스마트폰 사용자의 97%는 자신이 게임 앱을 실행하는 매 30초마다 열두 개의 광고 기술 기업에게 자신의 기기 정보를 전송하고 있다는 사실을 모른다. 그리고 그 전송은 애플의 앱 추적 투명성(ATT) 동의를 거부했을 때도 멈추지 않는다. 보안 연구자가 AppLovin의 광고 중개 암호화 프로토콜을 해독하면서 드러난 이 사실은, 단순한 보안 취약점 보고서를 넘어 디지털 광고 경제 전체의 수익 구조에 대한 근본적인 질문을 던진다.

---

AppLovin cipher의 설계 결함: 보안이 아니라 난독화였다

연구자가 발견한 것은 놀라울 정도로 단순한 구조다. AppLovin의 모든 광고 중개 요청은 ms4.applovin.com/1.0/mediate로 HTTPS POST 전송되며, TLS 레이어 안에 AppLovin이 자체 제작한 이중 암호화 레이어가 존재한다. 문제는 이 암호화의 재료에 있다.

"The SDK key is the shared secret AppLovin issues to each publisher app at signup, stored in plaintext in Info.plist on iOS or AndroidManifest.xml on Android." — 원문 연구 보고서

암호화의 핵심 재료인 SDK 키가 앱 번들에 평문으로 저장되어 있다. 이것은 금고의 비밀번호를 금고 문 앞에 붙여두는 것과 다르지 않다. 더 결정적인 문제는 암호화 카운터로 System.currentTimeMillis를 사용한다는 점이다. 이는 암호화된 패킷만 보고도 기기의 정확한 벽시계 시간을 밀리초 단위로 역산할 수 있다는 의미다. 암호화 이론의 관점에서 이것은 암호화가 아니라 암호화처럼 보이는 인코딩에 가깝다.

연구자는 5,394개의 패킷을 실패 없이 100% 복호화했다. Solitaire Associations Journey, Hypermarket3D, Ludo Star, Yik Yak 등 다섯 개 이상의 앱에서 동일한 결과가 나왔다. 이것은 특정 앱의 버그가 아니라 AppLovin SDK 전체의 설계 철학이다.

---

ATT가 무력화된다는 것의 경제적 의미

애플이 2021년 도입한 ATT(App Tracking Transparency)는 광고 산업에 지진과 같은 충격을 주었다. 메타(구 페이스북)는 ATT 도입 첫 해에만 약 100억 달러의 광고 수익 손실을 추산했고, 업계 전체가 "쿠키 없는 세계"와 "동의 기반 광고"라는 새로운 패러다임으로 전환을 선언했다.

그런데 이번 연구가 드러낸 것은 그 전환이 적어도 일부 플레이어에게는 실제로 일어나지 않았을 가능성이다.

"The assumption that ATT is the only way to deterministically identify a user is wrong. Fingerprinting the device works just as well." — 원문 연구 보고서

복호화된 device_info 페이로드에는 약 50개의 필드가 담겨 있다. 화면 안전 영역 인셋, 여유 메모리, 통신사 코드, 국가 코드, 로케일, 방향, 상태바 높이, 단조 시계, 배터리 플래그, 보안 연결 상태. IDFA(광고 식별자)는 0으로 처리되어 있지만, 이 50개의 조합은 사실상 기기를 결정론적으로 식별하는 핑거프린트로 기능한다.

여기서 경제학적 관점에서 중요한 수치가 등장한다. InMobi의 토큰에는 AppLovin의 device_info에도 없는 정보가 포함되어 있는데, 그 중 가용 디스크 공간(예: 6,275MB)은 시간에 따라 변하며 엔트로피가 매우 높다. 즉, 단일 식별자 없이도 시계열 핑거프린트로 동일 기기를 추적할 수 있다는 의미다.

---

광고 중개 경제의 숨겨진 구조: 한 번의 네트워크 호출, 열두 개의 수신자

이번 연구에서 경제 분석가로서 내가 가장 주목한 부분은 암호화 취약점 자체가 아니라, 복호화 이후 드러난 데이터 흐름의 경제 구조다.

전형적인 퍼블리셔 앱에는 약 18개의 광고 네트워크 SDK가 컴파일되어 있다. Meta, Google, Mintegral, Vungle, ironSource, Unity, InMobi, BidMachine, Fyber, Moloco, TikTok, Pangle, Chartboost, Verve, MobileFuse, Bigo, Yandex, 그리고 AppLovin 자체. 배너 하나를 채우기 위해 AppLovin SDK는 이 18개 SDK를 각각 로컬에서 호출하고 "입찰 신호를 준비하라"고 요청한다. 각 SDK는 독립적으로 토큰을 구성하고, AppLovin SDK는 이를 signal_data 배열에 묶어 단 하나의 네트워크 호출로 전송한다.

기기는 하나의 발신 요청을 보낸다. 데이터는 열두 개의 독립적인 광고 기술 기업에 도달한다.

이것은 광고 기술 업계가 수년간 구축해온 데이터 연합(data federation) 모델의 핵심을 보여준다. 각 참여자는 "나는 직접 추적하지 않는다"고 말할 수 있지만, 시스템 전체로 보면 사용자 동의 없이 열두 개의 기업이 동시에 동일한 기기 정보를 수신하는 구조가 완성된다. 경제학적으로 이것은 외부효과의 내부화를 교묘하게 회피하는 구조다. 개별 기업의 프라이버시 정책은 준수하되, 집합적 효과는 어떤 단일 규제도 포착하지 못하는 형태로 설계되어 있다.

쿠팡 창업자 '공정위 동일인' 지정, 법원이 제동을 건 진짜 이유에서 다룬 것처럼, 플랫폼 경제에서 규제의 공백은 종종 제도 설계의 의도와 현실 사이의 마찰에서 발생한다. ATT는 단일 식별자 기반 추적을 차단하도록 설계되었지만, 분산형 핑거프린팅 연합은 그 설계 의도의 바깥에 있다.

---

AppLovin의 시가총액 400억 달러가 말해주는 것

AppLovin은 2026년 현재 광고 기술 업계에서 가장 빠르게 성장한 기업 중 하나다. 이 성장의 핵심 엔진이 바로 이 광고 중개 플랫폼이다. 퍼블리셔 앱에 SDK를 배포하고, 실시간 입찰을 중개하며, 그 과정에서 데이터 중개자 역할을 수행한다.

이번 연구가 제기하는 질문은 간명하다. AppLovin의 수익 모델이 얼마나 ATT 이후 세계에서도 유효한 사용자 식별에 의존하고 있는가? 그리고 만약 그 식별이 사용자 동의 없이 이루어지고 있다면, 이것은 규제 리스크로 어떻게 가격에 반영되어야 하는가?

현재 이 리스크는 시장에 제대로 반영되지 않은 것으로 보인다. 광고 기술 기업들의 밸류에이션은 대체로 "ATT 이후 적응 완료"라는 내러티브 위에 구축되어 있다. 그런데 이번 연구는 그 적응이 실제 프라이버시 보호를 의미하는 것이 아니라 규제 회피의 기술적 정교화를 의미할 가능성을 시사한다.

VentureBeat의 보도(2026년 5월 14일)에서 Cisco의 Anthony Grieco가 지적한 것처럼, 에이전트 인증 체계의 붕괴는 런타임 보안의 문제이기도 하지만 더 근본적으로는 신뢰 아키텍처의 설계 실패다. AppLovin cipher 사례도 동일한 맥락에 있다. 암호화는 있지만 인증이 없고(no MAC, no AEAD), 키는 공개되어 있으며, 카운터는 예측 가능하다. 이것은 보안 설계가 아니라 감사 회피를 위한 최소한의 기술적 포장에 가깝다는 해석이 가능하다.

---

규제 지형의 변화와 광고 기술 산업의 다음 악장

글로벌 금융 시장의 체스판에서 이 사건이 갖는 의미를 짚어보자.

첫째, EU의 GDPR과 미국 각 주의 프라이버시 법안들은 "동의 없는 식별"을 명시적으로 금지한다. 이번 연구가 학술 논문이나 규제 기관의 공식 조사로 이어진다면, AppLovin과 그 파트너 네트워크(Meta, Google, Unity 포함)는 상당한 법적 노출을 안게 될 가능성이 있다. 특히 GDPR의 경우 전 세계 연간 매출의 4%까지 과징금이 부과될 수 있다.

둘째, 애플의 ATT 체계 자체에 대한 신뢰도 문제가 제기된다. YouTube AI 딥페이크 탐지가 '모든 성인'에게 열린 날: 플랫폼 권력이 조용히 이동하고 있다에서 다룬 것처럼, 플랫폼의 정책 선언과 실제 데이터 흐름 사이의 간극은 플랫폼 신뢰 자본을 서서히 잠식한다. 애플이 ATT를 자사 광고 생태계의 경쟁 우위로 활용해왔다는 점에서, 이번 연구는 애플에게도 불편한 진실이다.

셋째, 광고 기술 업계의 수익 모델 재편 압력이 가속화될 가능성이 있다. 핑거프린팅 기반 식별이 규제 당국의 타깃이 된다면, 업계는 진정한 의미의 컨텍스트 광고(contextual advertising)나 퍼스트파티 데이터 기반 모델로 전환해야 한다. 이것은 수익성 구조의 근본적 재편을 의미하며, 현재의 밸류에이션에 반영되지 않은 하방 리스크다.

---

투자자와 퍼블리셔가 지금 물어야 할 질문

경제 분석의 관점에서 이번 사건이 제시하는 시사점은 세 방향으로 수렴한다.

광고 기술 기업 투자자라면, 현재 보유 중인 광고 기술 기업의 수익 모델이 ATT 이후 "적응"의 실질적 내용을 면밀히 검토할 필요가 있다. 핑거프린팅 의존도가 높은 기업일수록 규제 리스크 프리미엄이 현재 가격에 충분히 반영되지 않았을 가능성이 있다.

앱 퍼블리셔라면, 자신의 앱에 통합된 18개 내외의 광고 SDK가 각각 어떤 데이터를 수집하고 어디로 전송하는지 실제로 알고 있는지 자문해볼 필요가 있다. SDK를 통합하는 순간, 퍼블리셔는 그 SDK의 데이터 수집 행위에 대한 법적 공동 책임을 질 수 있다.

일반 사용자라면, ATT 거부가 완전한 추적 차단을 의미하지 않는다는 사실을 인지하는 것이 현실적인 출발점이다. 이것은 개인의 행동 변화로 해결될 문제가 아니라, 규제와 기술 표준의 변화를 통해서만 구조적으로 해결될 수 있는 시스템 수준의 문제다.

---

경제 시스템은 종종 악보에 적힌 음표와 실제 연주 사이의 간극에서 위기를 잉태한다. ATT라는 악보는 사용자 동의를 중심으로 작성되었지만, AppLovin cipher가 드러낸 실제 연주는 전혀 다른 화성으로 진행되고 있었다. 그 불협화음이 시장에 제대로 가격화되기까지, 우리는 아직 1악장도 끝내지 못했다.